Tratto dallo speciale:

Ransomware: FIGHTing BACK

di Alessia Valentini

Pubblicato 9 Marzo 2017
Aggiornato 25 Maggio 2021 13:34

logo PMI+ logo PMI+
Non sembra volersi arrestare l’ondata di attacchi basati sul malware Ransowmare: dalla sua prima apparizione, si sono evolute diverse forme di attacco.

Non sembra volersi arrestare l’ondata di attacchi basati sul malware Ransowmare. Dalla sua prima apparizione, si sono evolute diverse forme capaci di impedire l’interazione con il sistema modificando la shell di Windows, oppure modificando il master boot record e/o la tabella di partizione impedendo comunque l’avvio del sistema operativo. Si è passati poi dalle versioni con criptazione simmetrica ai malware dotati di sistemi ibridi di criptazione. Il più famoso è stato il Cryptolocker collegato ai sistemi di pagamento in valuta virtuale Bitcoin. Più recente la variante Cerber che si inocula con le solite modalità campagne spam/phishing per far aprire l’allegato malevolo, download da siti infetti, e installazione mediante altri Trojan, ma che adotta l’algoritmo di cifratura RSA. La decriptazione come sempre e’ una operazione delicate che richiede non solo accorgimenti particolari ma anche  strumenti specifici divulgate dai produttori di software di cybersicurezza, ma che possono restare efficaci a meno di ulteriori varianti in un continuo balletto da guardie e ladri. Gli analisti di sicurezza spiegano, che la diffusione di questo tipo di malware e’ facilitate da un accesso più facile al mercato nero di internet, i costi bassi e la semplicità tecnica richiesti per sferrare un attacco, e la diffusione dei Bitcoin. Ad essere presi di mira non sono solo private o aziende ma anche strutture istituzionali come è accaduto ai primi di febbraio agli uffici governativi della città dell’Ohio compresi gli uffici della polizia, costretti a lavorare senza Pc e telefoni.

Par aiutare aziende e privati fornendo un una visione completa delle crescenti minacce dei ransomware Check Point® Software Technologies ha iniziato a collaborare con Europol, Agenzia di contrasto dell’Unione Europea nata per combattere le forme gravi di criminalità organizzata. L’intento è finalizzato a rendere disponibili gratuitamente nuovi materiali formativi per contrastare i nuovi attacchi e recuperare i dati bloccati all’interno dei computer infetti. La prima iniziativa è stata la pubblicazione del report congiunto, ‘Ransomware: What You Need to Know’, che illustra la rapida evoluzione di questi malware, a partire dalle prime varianti, come Cryptolocker, che si è affermato nel 2013, fino alle minacce ransomware di alto livello di oggi, tra cui Locky, CryptXXX, TorrentLocker, Jigsaw e Cerber. Il report descrive i metodi d’attacco utilizzati da ogni variante e sono forniti consigli pratici per prevenire l’infezione proponendo anche alcune best-practice su come reagire e recuperare le informazioni messe sotto scacco da un attacco di questo tipo, specificando anche tool per risolvere la crittografia. Anche il sito www.nomoreransom.org è stato pensato con le stesse finalità divulgative ed di supporto operativo.

Oded Gonda, VP Technology & Innovation di Check Point, ha sottolineato l’importanza verso la sensibilizzazione a questo tipo di minaccia e l’esigenza di una cooperazione più stretta tra le aziende di sicurezza e le forze dell’ordine internazionali come elemento essenziale nella lotta e per  fronteggiare le campagne d’attacco su larga scala. Inoltre Check Point è tra i membri del Cybercrime Center Internet Security Advisory Board di Europol, ed è partner del progetto internazionale No More Ransom, nato per combattere la crescita dei ransomware di cui fanno parte le forze dell’ordine e le organizzazioni private ciascuna delle quali condivide la propria experience in termini di cybersecurity e il proprio know-how tecnico per sviluppare nuove soluzioni.